Bei Googles Veranstaltung Pwnium hat ein Hacker den ersten Exploit für das linuxbasierte Betriebssystem Chrome OS demonstriert. Obwohl er nur unzuverlässig funktioniert, entschied sich Google, ihm 40.000 Dollar Preisgeld zuzusprechen. Er habe „eine plausible Fehlerkette aufgezeigt, die Videoparsing, einen Bug im Linux-Kernel und eine fehlerhafte Config-Datei involvierte. Enthalten war ein unzuverlässiger Exploit, der einen der Fehler nutzte.“
Bei dem Hacker handelt es sich um Pinkie Pie, der im Rahmen von Googles letztjährigem Sicherheitswettbewerb im Oktober den Browser Chrome gecrackt hatte. Google dankte ihm auch dafür, dass er „dem Geist des Wettbewerbs entsprechend“ zur Deadline einen teilweisen Exploit geliefert habe, statt Details für einen kompletten Exploit zurückzuhalten. „Das bedeutet, dass wir schneller Fixes entwickeln und das OS härten können, um die Nutzer sicher zu halten.“ Für einen vollwertigen Exploit auf Browser- oder Systemebene hätte der Hacker nämlich 110.000 Dollar bekommen, für einen auch Reboots überstehenden Hack sogar 150.000 Dollar.
Die genauen Probleme sind nur Chromium-Entwicklern bekannt, Google hat sie aber in der Chrome-OS-Version 25.0.1364.173 vom 15. März behoben. Öffentlich wurde lediglich kommuniziert, dass durch einen fehlerhaften Prozess ein Overflow des Grafikprozessors möglich war und eine weitere Schwachstelle im Treiber für die Intel-Grafik i915 steckte.
Über den Wettbewerb hinaus weist Google darauf hin, dass es im Rahmen des Chromium Vulnerability Reward Program fortlaufend jeden honoriert, der Fehler im Browser Chrome für Desktop und Mobile oder in Chrome OS findet. „Wir haben im Lauf der Jahre mehr als 900.000 Dollar Prämien verteilt und hoffen, bald noch mehr ausgeben zu können. Eine Beteiligung der Security-Community ist mit der beste Weg, alle Internetnutzer abzusichern.“
[mit Material von Steven J. Vaughan-Nichols, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
